هل تم اختراق موقع ووردبريس الخاص بك؟
غالبًا ما يقوم الهكرز بتثبيت باب خلفي للتأكد من قدرتهم على العودة حتى بعد تأمين الموقع الكتروني الخاص بك. ما لم تتمكن من إزالة هذا الباب الخلفي، فلا يوجد ما يمكن إيقافه.
سنوضح لك في هذه المقالة كيفية العثور على الباب الخلفي في موقع ووردبريس المخترق وإصلاحه.
جدول المحتوى
كيفية معرفة ما إذا كان الموقع الكتروني الخاص بك قد تم اختراقه
إذا كنت تدير موقع ووردبريس، فأنت بحاجة إلى أخذ الأمان على محمل الجد. وذلك لأن مواقع الويب تتعرض للهجوم بمعدل 44 مرة يوميًا.
يمكنك تعلم أفضل الممارسات للحفاظ على أمان موقعك في دليل حماية ووردبريس النهائي.
ولكن ماذا لو تم اختراق موقعك بالفعل؟
تتضمن بعض العلامات التي تشير إلى اختراق موقع ووردبريس الخاص بك انخفاضًا في حركة مرور الموقع الكتروني أو الأداء، أو إضافة روابط سيئة أو ملفات غير معروفة، أو صفحة رئيسية مشوهة، أو عدم القدرة على تسجيل الدخول، أو حسابات مستخدمين جديدة مشبوهة، والمزيد.
يمكن أن يكون تنظيف الموقع الكتروني المخترق أمر مؤلم وصعب للغاية. سنأخذك خلال العملية خطوة بخطوة في دليل المبتدئين الخاص بنا لـ إصلاح موقع ووردبريس الذي تم اختراقه. يجب عليك أيضًا التأكد من فحص موقعك بحثًا عن أي برامج ضارة تركها الهكرز.
ولا تنس إغلاق الباب الخلفي.
يعرف الهكر الذكي أنك ستقوم في النهاية بتنظيف موقع الويب الخاص بك. أول شيء قد يفعلونه هو تثبيت باب خلفي، حتى يتمكنوا من التسلل مرة أخرى بعد تأمين الباب الأمامي لموقع ووردبريس الخاص بك.
ما هو الباب الخلفي؟
الباب الخلفي (Backdoor) هو رمز يضاف إلى موقع ويب يسمح للهكر بالوصول إلى السيرفر دون أن يتم اكتشافه، وتجاوز تسجيل الدخول العادي. فهو يسمح للهكر باستعادة الوصول حتى بعد العثور على الاضافة المستغل أو الثغرة الأمنية في موقع الويب الخاص بك وإزالتها.
تعد الأبواب الخلفية هي الخطوة التالية للاختراق بعد اختراق المستخدم. يمكنك معرفة كيفية قيامهم بذلك في دليلنا حول كيفية اختراق مواقع ووردبريس وكيفية منع ذلك.
غالبًا ما تنجو الأبواب الخلفية من ترقيات ووردبريس. وهذا يعني أن موقعك سيظل عرضة للخطر حتى تجد كل باب خلفي وتصلحه.
كيف تعمل الأبواب الخلفية؟
بعض الأبواب الخلفية هي ببساطة أسماء مستخدمين إداريين مخفية. لقد سمحوا للهكر بتسجيل الدخول كالمعتاد عن طريق كتابة اسم المستخدم وكلمة المرور. نظرًا لأن اسم المستخدم مخفي، فأنت لا تعلم حتى أن شخصًا أخر لديه حق الوصول إلى موقع الويب الخاص بك.
يمكن للأبواب الخلفية الأكثر تعقيدًا أن تسمح للهكر بتنفيذ كود PHP. يرسلون الكود يدويًا إلى موقع الويب الخاص بك باستخدام متصفح الويب الخاص بهم.
يتمتع الأخرون بواجهة مستخدم كاملة تتيح لهم إرسال رسائل البريد الإلكتروني كـ سيرفر استضافة ووردبريس الخاص بك، وتنفيذ استعلامات قاعدة بيانات SQL، وغير ذلك الكثير.
سيترك بعض الهكر أكثر من ملف خلفي واحد. بعد أن يقوموا بتحميل واحد، سيضيفون أخر لضمان وصولهم.
أين يتم إخفاء الأبواب الخلفية؟
في كل حالة وجدناها، تم إخفاء الباب الخلفي ليبدو وكأنه ملف ووردبريس. يتم تخزين كود الأبواب الخلفية على موقع ووردبريس بشكل شائع في المواقع التالية:
- قالب ووردبريس، ولكن ربما ليس القالب الذي تستخدمه حاليًا. لا تتم الكتابة فوق الكود الموجود في القالب عند تحديث ووردبريس، لذا فهو مكان جيد لوضع باب خلفي. ولهذا السبب نوصي بحذف جميع القوالب الغير فعالة.
- تعد اضافات ووردبريس مكان جيد أخر لإخفاء الباب الخلفي. مثل القوالب، لا يتم استبدالها بـ تحديثات ووردبريس، ويتردد العديد من المستخدمين في ترقية الاضافات.
- قد يحتوي مجلد التحميلات على مئات أو آلاف ملفات الوسائط، لذا فهو مكان جيد أخر لإخفاء الباب الخلفي. لا يقوم المدونون أبدًا بفحص محتوياته أبدًا لأنهم يقومون فقط بتحميل صورة ثم استخدامها في مقال.
- يحتوي ملف wp-config.php على معلومات حساسة تستخدم لتكوين ووردبريس. إنه أحد الملفات الأكثر استهدافًا من قبل الهكرز.
- يحتوي المجلد wp-includes على ملفات PHP المطلوبة لتشغيل ووردبريس بشكل صحيح. إنه مكان أخر نجد فيه أبواب خلفية لأن معظم مالكي مواقع الويب لا يقومون بالتحقق لمعرفة محتوى المجلد.
أمثلة على الأبواب الخلفية التي وجدناها
فيما يلي بعض الأمثلة على الأماكن التي قام الهكرز بتحميلها من خلال أبواب خلفية. في أحد المواقع التي قمنا بتنظيفها، كان الباب الخلفي موجود في المجلد wp-includes. كان الملف يسمى wp-user.php، والذي يبدو بريئ بدرجة كافية، ولكن هذا الملف غير موجود بالفعل في تثبيت ووردبريس العادي.
وفي حالة أخرى، وجدنا ملف PHP اسمه hello.php في مجلد التحميلات. لقد كان متخفي في هيئة اضافة Hello Dolly. والغريب أن الهكر وضعه في مجلد التحميلات بدلاً من مجلد الإضافات.
لقد وجدنا أيضًا أبواب خلفية لا تستخدم امتداد الملف php. ومن الأمثلة على ذلك الملف المسمى wp-content.old.tmp، وقد وجدنا أيضًا أبواب خلفية في الملفات ذات الامتداد zip.
كما ترون، يمكن للهكرز اتباع أساليب مبتكرة للغاية عند إخفاء الباب الخلفي.
في معظم الحالات، تم تكويد الملفات باستخدام كود Base64 الذي يمكنه تنفيذ جميع أنواع العمليات. على سبيل المثال، يمكنهم إضافة روابط غير مرغوب فيها، وإضافة صفحات إضافية، وإعادة توجيه الموقع الرئيسي إلى صفحات غير مرغوب فيها، والمزيد.
مع ما قيل، دعونا نلقي نظرة على كيفية العثور على الباب الخلفي في موقع ووردبريس المخترق وإصلاحه.
كيفية العثور على باب خلفي في موقع ووردبريس المخترق وإصلاحه
الآن أنت تعرف ما هو الباب الخلفي وأين يمكن إخفاؤه. الجزء الصعب هو العثور عليه! وبعد ذلك، يصبح تنظيفه سهلاً مثل حذف الملف أو الكود.
1. البحث عن الاكودا الضارة المحتملة
أسهل طريقة لفحص موقع الويب الخاص بك بحثًا عن الأبواب الخلفية ونقاط الضعف هي باستخدام اضافة لفحص البرامج الضارة في ووردبريس. نوصي باستخدام Sucuri لأنه ساعد في منع 450,000 هجمة على ووردبريس خلال 3 أشهر، بما في ذلك 29,690 هجمة ذات صلة بالأبواب الخلفية.
إنها توفر اضافة Sucuri مجانية لحماية ووردبريس والذي يتيح لك فحص موقع الويب الخاص بك بحثًا عن التهديدات الشائعة وتعزيز أمان ووردبريس الخاص بك. تتضمن النسخة المدفوعة ماسح ضوئي من جانب السيرفر يتم تشغيله مرة واحدة كل يوم ويبحث عن الأبواب الخلفية ومشكلات الأمان الأخرى.
البديل الرائع لـ Sucuri هو MalCare، الذي يحتوي على ميزة إزالة البرامج الضارة تلقائيًا. سيؤدي هذا إلى إزالة جميع ملفات البرامج الضارة، بما في ذلك الملفات الخلفية، من موقع الويب الخاص بك.
تعرف على المزيد في دليلنا حول كيفية فحص موقع ووردبريس الخاص بك بحثًا عن الاكواد الضارة المحتملة.
2. احذف مجلد الإضافات الخاص بك
يستغرق البحث في مجلدات الاضافات الخاصة بك بحثًا عن الملفات والاكواد المشبوهة وقت طويل. ولأن الهكرز متسترون جدًا، فليس هناك ما يضمن أنك ستجد باب خلفي.
أفضل ما يمكنك فعله هو حذف دليل الاضافات، ثم إعادة تثبيت الاضافات من البداية. هذه هي الطريقة الوحيدة للتأكد من عدم وجود أبواب خلفية في الاضافات الخاصة بك.
يمكنك الوصول إلى دليل الاضافات الخاص بك باستخدام عميل FTP أو مدير ملفات استضافة ووردبريس الخاص بك. إذا لم تكن قد استخدمت FTP من قبل، فقد ترغب في الاطلاع على دليلنا حول كيفية استخدام FTP لتحميل الملفات إلى ووردبريس.
ستحتاج إلى استخدام البرنامج للانتقال إلى مجلد محتوى wp الخاص بموقعك على الويب. بمجرد الوصول إلى هناك، يجب عليك النقر بزر الماوس الأيمن على مجلد الاضافات وتحديد “حذف”.
3. احذف مجلد القوالب الخاص بك
بنفس الطريقة، بدلاً من قضاء الوقت في البحث عن باب خلفي بين ملفات القوالب الخاصة بك، فمن الأفضل حذفها فقط.
بعد حذف مجلد الاضافات، ما عليك سوى تحديد مجلد القوالب وحذفه بنفس الطريقة.
أنت لا تعرف ما إذا كان هناك باب خلفي في هذا المجلد، ولكن إذا كان هناك باب خلفي، فقد اختفى الأن. لقد وفرت الوقت للتو وقمت بإزالة نقطة هجوم إضافية.
يمكنك الأن إعادة تثبيت أي قوالب تحتاجها.
4. ابحث في مجلد التحميلات عن ملفات PHP
بعد ذلك، يجب عليك إلقاء نظرة على مجلد التحميلات والتأكد من عدم وجود ملفات PHP بداخله.
لا يوجد سبب وجيه لوجود ملف PHP في هذا المجلد لأنه مصمم لتخزين ملفات الوسائط مثل الصور. إذا وجدت ملف PHP هناك، فيجب حذفه.
مثل مجلدات الإضافات والقوالب، ستجد مجلد التحميلات في مجلد wp-content. ستجد داخل المجلد مجلدات متعددة لكل سنة وشهر قمت بتحميل الملفات فيه. سوف تحتاج إلى التحقق من كل مجلد بحثًا عن ملفات PHP.
يقدم بعض عملاء FTP أدوات للبحث في المجلد بشكل متكرر. على سبيل المثال، إذا كنت تستخدم FileZilla، فيمكنك النقر بزر الماوس الأيمن فوق المجلد وتحديد “إضافة ملفات إلى قائمة الانتظار”. ستتم إضافة أي ملفات موجودة في أي أدلة فرعية للمجلد إلى قائمة الانتظار في الجزء السفلي.
يمكنك الأن التمرير خلال القائمة بحثًا عن الملفات ذات الامتداد php.
وبدلاً من ذلك، يمكن للمستخدمين المتقدمين الذين هم على دراية بـ SSH كتابة الأمر التالي:
find uploads -name "*.php" -print
5. احذف ملف htaccess.
قد يضيف بعض الهكرز اكواد إعادة التوجيه إلى ملف htaccess. الخاص بك والذي سيرسل زوار موقعك إلى موقع ويب مختلف.
باستخدام عميل FTP أو مدير الملفات، ما عليك سوى حذف الملف من الدليل الجذر لموقع الويب الخاص بك، وسيتم إعادة إنشائه تلقائيًا.
إذا لم تتم إعادة إنشائها لسبب ما، فيجب عليك الانتقال إلى الإعدادات » الروابط الدائمة في لوحة إدارة ووردبريس الخاصة بك. سيؤدي النقر فوق الزر “حفظ التغييرات” إلى حفظ ملف htaccess جديد.
6. تحقق من ملف wp-config.php
ملف wp-config.php هو ملف ووردبريس أساسي يحتوي على معلومات تسمح لـ ووردبريس بالاتصال بقاعدة البيانات، ومفاتيح الأمان لتثبيت ووردبريس، وخيارات المطور.
تم العثور على الملف في المجلد الجذر لموقع الويب الخاص بك. يمكنك عرض محتويات الملف عن طريق تحديد خيارات فتح أو تحرير في عميل FTP الخاص بك.
الأن يجب عليك إلقاء نظرة على محتويات الملف بعناية لمعرفة ما إذا كان هناك أي شيء يبدو في غير مكانه. قد يكون من المفيد مقارنة الملف بالملف الافتراضي wp-config-sample.php الموجود في نفس المجلد.
يجب عليك حذف أي كود أنت متأكد أنه لا ينتمي إليه.
7. استعادة نسخة احتياطية لموقع الويب
إذا كنت تقوم بعمل نسخ احتياطية منتظمة لموقعك على الويب ولا تزال تشعر بالقلق من أن موقع الويب الخاص بك ليس نظيف تمامًا، فإن استعادة النسخة الاحتياطية يعد حلاً جيدًا.
ستحتاج إلى حذف موقع الويب الخاص بك بالكامل ثم استعادة النسخة الاحتياطية التي تم التقاطها قبل اختراق موقع الويب الخاص بك. هذا ليس خيار متاح للجميع، لكنه سيجعلك واثق بنسبة 100% من أن موقعك أمن.
لمزيد من المعلومات، راجع دليل المبتدئين الخاص بنا حول كيفية استعادة ووردبريس من النسخة الاحتياطية.
كيفية منع الاختراقات في المستقبل؟
الآن بعد أن قمت بتنظيف موقع الويب الخاص بك، حان الوقت لتحسين أمان موقعك لمنع الاختراقات في المستقبل. لا داعي لأن تكون رخيص أو لا مبالي عندما يتعلق الأمر بأمان موقع الويب.
1. قم بعمل نسخة احتياطية لموقع الويب الخاص بك بانتظام
إذا لم تكن قد قمت بالفعل بعمل نسخ احتياطية منتظمة لموقعك على الويب، فاليوم هو اليوم المناسب للبدء.
لا يأتي ووردبريس مزود بحل نسخ احتياطي مدمج. ومع ذلك، هناك العديد من اضافات ووردبريس للنسخ الاحتياطي الرائعة والتي تتيح لك إجراء نسخ احتياطي واستعادة موقع الويب الخاص بك على ووردبريس تلقائيًا.
يعد UpdraftPlus واحدًا من أفضل اضافات النسخ الاحتياطي ووردبريس. يسمح لك بإعداد جداول النسخ الاحتياطي التلقائي وسيساعدك على استعادة موقع ووردبريس الخاص بك في حالة حدوث شيء سيء.
هناك أيضًا إصدار مجاني من UpdraftPlus يمكنك استخدامه لإنشاء نسخ احتياطية يدوية.
للحصول على تعليمات خطوة بخطوة، راجع دليلنا حول كيفية عمل نسخة احتياطية لموقع ووردبريس الخاص بك.
2. تثبيت اضافة للأمان
لا يمكنك مراقبة كل ما يجري على موقع الويب الخاص بك عندما تكون مشغول بالعمل في عملك. لهذا السبب نوصيك باستخدام اضافة للحماية مثل Malcare.
نوصي بـ Malcare لأنهم جيدون في ما يفعلونه. وتوافق المنشورات الكبرى مثل CNN، وUSA Today، وPC World، وTechCrunch، وThe Next Web، وغيرها. بالإضافة إلى ذلك، نحن نعتمد عليه بأنفسنا للحفاظ على أمان دكتورميجا.
3. جعل تسجيل الدخول إلى ووردبريس أكثر أمانًا
من المهم أيضًا أن تجعل تسجيل الدخول إلى ووردبريس الخاص بك أكثر أمانًا. أفضل طريقة للبدء هي فرض استخدام كلمات مرور قوية عندما يقوم المستخدمون بإنشاء حساب على موقع الويب الخاص بك. نوصيك أيضًا بالبدء في استخدام أداة مساعدة لإدارة كلمات المرور مثل 1Password.
الشيء التالي الذي يجب عليك فعله هو إضافة المصادقة الثنائية. سيؤدي ذلك إلى حماية موقع الويب الخاص بك من كلمات المرور المسروقة وهجمات القوة الغاشمة. وهذا يعني أنه حتى لو عرف المتسلل اسم المستخدم وكلمة المرور الخاصة بك، فلن يتمكن من تسجيل الدخول إلى موقع الويب الخاص بك.
أخيرًا، يجب عليك الحد من محاولات تسجيل الدخول في ووردبريس. يتيح ووردبريس للمستخدمين إدخال كلمات المرور عدة مرات كما يريدون. سيؤدي حظر المستخدم بعد خمس محاولات تسجيل دخول فاشلة إلى تقليل فرصة الهكرز بشكل كبير في معرفة تفاصيل تسجيل الدخول الخاصة بك.
4. حماية منطقة إدارة ووردبريس الخاصة بك
تتيح لك حماية منطقة الإدارة من الوصول غير المصرح به حظر العديد من التهديدات الأمنية الشائعة. لدينا قائمة طويلة من النصائح حول كيفية الحفاظ على أمان مسؤول ووردبريس.
على سبيل المثال، يمكنك حماية دليل wp-admin بكلمة مرور. وهذا يضيف طبقة أخرى من الحماية إلى نقطة الدخول الأكثر أهمية إلى موقع الويب الخاص بك.
يمكنك أيضًا تقييد الوصول إلى منطقة الإدارة إلى عناوين IP التي يستخدمها فريقك. هذه طريقة أخرى لحظر الهكرز الذين يكتشفون اسم المستخدم وكلمة المرور الخاصين بك.
5. تعطيل محرري القوالب والاضافات
هل تعلم أن ووردبريس يأتي مزود بمحرر مدمج للقالب والاضافة؟ يتيح لك محرر النص العادي هذا تحرير ملفات القالب والاضافة الخاصة بك مباشرة من لوحة تحكم ووردبريس.
على الرغم من أن هذا مفيد، إلا أنه قد يؤدي إلى مشكلات أمنية محتملة. على سبيل المثال، إذا اقتحم أحد الهكرز منطقة إدارة ووردبريس الخاصة بك، فيمكنه استخدام المحرر المدمج للوصول إلى جميع بيانات ووردبريس الخاصة بك.
بعد ذلك، سيكون بمقدورهم توزيع البرامج الضارة أو شن هجمات DDoS من موقع ووردبريس الكتروني الخاص بك.
لتحسين أمان ووردبريس، نوصي بإزالة محررين الملفات المضمنة بالكامل.
6. تعطيل تنفيذ PHP في مجلدات معينة في ووردبريس
بشكل افتراضي، يمكن تشغيل اسكربتات PHP في أي مجلد على موقع الويب الخاص بك. يمكنك جعل موقع الويب الخاص بك أكثر أمانًا عن طريق تعطيل تنفيذ PHP في المجلدات التي لا تحتاج إليه.
على سبيل المثال، لا يحتاج ووردبريس أبدًا إلى تشغيل الكود المخزن في مجلد التحميلات الخاص بك. إذا قمت بتعطيل تنفيذ PHP لهذا المجلد، فلن يتمكن الهكر من تشغيل الباب الخلفي حتى لو نجح في تحميله هناك.
7. حافظ على تحديث موقع الويب الخاص بك
كل إصدار جديد من ووردبريس أكثر أمانًا من الإصدار السابق. كلما تم الإبلاغ عن ثغرة أمنية، يعمل فريق ووردبريس الأساسي بجد لإصدار تحديث يعمل على إصلاح المشكلة.
هذا يعني أنك إذا لم تقم بتحديث ووردبريس، فأنت تستخدم برنامج به ثغرات أمنية معروفة. يمكن للهكرز او المتسللين البحث عن مواقع الويب التي تعمل بالإصدار الأقدم واستخدام الثغرة الأمنية للوصول إليها.
لهذا السبب يجب عليك دائمًا استخدام أحدث إصدار من ووردبريس.
لا تقم فقط بتحديث ووردبريس. تحتاج إلى التأكد من أنك تحافظ أيضًا على تحديث القوالب والاضافات الخاصة بـ ووردبريس.
نأمل أن يكون هذا البرنامج التعليمي قد ساعدك على تعلم كيفية العثور على الباب الخلفي وإصلاحه في موقع ووردبريس المخترق. قد ترغب أيضًا في معرفة كيفية انشاء صفحة مقصودة مثالية فى ووردبريس، أو الاطلاع على قائمة أخطاء ووردبريس وكيفية إصلاحها.
اترك تعليقاً